目前 ，各种网络蠕虫借助INTERNET 正四处传播，北京江民新科技术有限公司反病毒小组率先截获最新的网络蠕虫I-Worm/Sobig（好大）.
（1）       如何识别收到了“I-Worm/Sobig（好大）网络蠕虫”：

请注意以下图示，以下是该网络蠕虫的一些基本特征。发件人是：big@boss.com ;邮件的主题是:Re:Sample ,整个网络蠕虫邮件的大小是88.5KB,但实际上该网络蠕虫的实际大小是65536字节，该大小实际上就是附件文件的大小，这里演示的附件是：Untitled1.pif.邮件的正文是：Attached file:

       千万不要认为是所谓的“大老板”发来的一个什么指令文件而贸然打开该附件。其实它纯粹就是最新的网络蠕虫I-Worm/Sobig.当然用户实际过程中收到的可能有所不同，但是邮件的发件人big@boss.com 是不变的，同时虽然附件的文件名称也可能变化，但是该文件的大小是不变的，还有不变的是邮件的主体内容，而该文件的主题也可能是变化的。

      （2）当开启KV江民杀毒王2003的邮件监视时，当收到含有该病毒的信件，KV江民杀毒王的邮件监视功能就会自动报警，并以类消息的方式来通知用户。开启KV江民杀毒王2003方式是：

 此时只有“邮件监视”有效，其他的监视功能暂时关闭。

以下的监视窗口是测试过程中出现的图示。用户在实际使用的过程中的报警的来源应该是big@boss.com .

当用户实际查看自己收到的含有病毒的信件时，会看到的大致是：

实际上，当用户开启KV江民杀毒王2003的邮件监视功能，收到的会是一个如上的!KV!.txt的附件的纯文本文件，原网络蠕虫的主体被隔离，详细的描述信息在该纯文本文件中。信息显示在上图下半部分的记事本中。

Document003.pif 发现病毒I-Worm/Sobig，已经删除.

本邮件中含有病毒，于 2003. 1.16 10:28 清除.

原邮件已备份于计算机 NOTEBOOK，文件名:

F:\KV-Back.vir\[ big@boss.com ] Re Here is that sample [Thu 16 Jan 2003 9 13 07 0800].vir.

”

       （3）当机器已经感染了该网络蠕虫后，可以安装最新版本的KV江民杀毒王2003，当安装成功后，首先要扫描系统内存，等系统内存扫描没有发现病毒后，才能扫描文件中的病毒。该病毒在WINDOWS的目录下生成的文件winmgm32.exe 是必须删除的；当然对于系统注册表的修改部分：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中增加的键值WindowsMGM 是必须删除的。

       这里讲了利用KV江民杀毒王2003的邮件监视功能防范I-Worm/Sobig“好大”的方法。实际上该网络蠕虫还能使用KV江民杀毒王的“内存监视”、“文件监视”、“注册表监视”等监视功能都能拦截该病毒。当然由于该病毒的网络特性，因此这里主要讲的是“邮件”特性，该病毒还同时能传染局域网的共享目录（属于文件监视范畴）。主要运用好KV江民杀毒王2003的各种监视功能与直接清除病毒功能就能很好的拦截与清除该病毒。